Los puntos CDP y AIA a veces pueden ser confusos, pero son los pilares más importantes de un sistema funcional. PKI Entorno. La configuración de puntos CDP y AIA adecuados puede resultar en un entorno PKI más saludable y estable, aunque la depuración de estos problemas puede ser igualmente compleja. Este artículo pretende ayudar a prevenir cualquier problema de CDP/AIA que pueda surgir durante las etapas de configuración y depuración de PKI.
Configuración de puntos CDP/AIA
La configuración correcta de los puntos CDP y AIA puede ser compleja. Implica la autorización correcta de dónde se deben publicar las CRL y dónde se accederá a ellas.
Una configuración incorrecta del CDP puede dar lugar a dos escenarios
- La CRL no se publica, o
- No se puede acceder a las CRL
De manera similar, si AIA no está configurado correctamente, no se podrá acceder a los certificados de las CA raíz y emisoras.
En ambos escenarios, la PKI no funciona correctamente.
Configuración de AIA
AIA es el más fácil de configurar. Si se usa OCSP, el punto decimal de AIA puede ser 34; de lo contrario, siempre es 2.
| Nombre que se ve en la pagina | Valor decimal |
|---|---|
| Publicar en esta ubicación | 1 |
| Incluir en la AIA la extensión de los certificados emitidos | 2 |
| Incluir en la extensión del Protocolo de estado de certificado en línea (OCSP) | 32 |
El valor decimal 1 se incluye al publicar en el %windir%\System32\certsrv\CertEnroll Ubicación. También se puede incluir para publicar directamente en la ubicación de AIA si se proporcionan los permisos adecuados.
[Nota: Si la ubicación está detrás de un balanceador de carga, la CA no puede acceder a ambos servidores y podría causar un fallo. No publique en esas ubicaciones; se recomienda copiar manualmente.]
Se incluye el valor decimal 2 cuando se añade la URL a los certificados emitidos. Estas URL actúan como puntos AIA desde donde se pueden extraer los certificados.
Ejemplo:
Aquí, proporcionamos una carpeta local CertEnroll con el valor decimal 1, ya que es donde se publicará el certificado AIA. La ubicación HTTP tiene el valor decimal 2, donde no se publicarán los certificados, pero servirá como ubicación AIA desde donde otros clientes podrán acceder a su certificado.
Configuración de CDP
La configuración de CDP puede depender de cómo esté configurada la CA, cómo esté CRL se publican y se accede a ellos, y si CRL delta se publican.
| Nombre que se ve en la pagina | Descripción | Valor decimal |
|---|---|---|
| Publicar CRL en esta ubicación | Utilizado por la CA para determinar si se deben publicar las CRL base en esta ubicación | 1 |
| Incluir en el Punto de Distribución CRL (CDP) de los certificados emitidos | Utilizado por los clientes durante la comprobación de revocación para encontrar la ubicación de la CRL base | 2 |
| Incluir en las CRL [base] | Utilizado por los clientes durante la comprobación de revocación para encontrar la ubicación de la CRL delta a partir de las CRL base | 4 |
| Incluir en todas las CRL | Una CA sin conexión puede usarlo para especificar la URL LDAP para la publicación manual de CRL. También debe configurar el contenedor de configuración explícita en la URL o DSConfigDN valor en el registro. certutil -setreg CA\DSConfigDN CN= |
8 |
| 16 | ||
| 32 | ||
| Publicar CRL de Delta en esta ubicación | Utilizado por la CA para determinar si se deben publicar las CRL Delta en esta ubicación | 64 |
Los valores decimales se utilizan según cómo se deba configurar el CDP.
El valor decimal 1 se utiliza principalmente para publicar CRL. %windir%\System32\certsrv\CertEnroll Ubicación o a aquellas ubicaciones donde la CA tiene permisos de acceso. Si también se publican CRL Delta, se utiliza 65 (1+64).
[Nota: Si la ubicación está detrás de un balanceador de carga, la CA no puede acceder a ambos servidores y podría causar un fallo. No publique en esas ubicaciones; se recomienda copiar manualmente.]
El valor decimal 2 incluye la URL o ubicación y le permite actuar como una ubicación CDP desde donde se accede a las CRL base o delta.
Ejemplo
Valor decimal 79 = Las CRL se publican en esa ubicación (1) + La ubicación se agrega a CDP (2) + Ubicación de la CRL delta (4) + Incluir en todas las CRL (8) + Publicar la CRL delta en esta ubicación (64)
Valor decimal 65 = Publicar CRL en esta ubicación (1) + Publicar CRL Delta en esta ubicación (64)
Valor decimal 6 = Se agrega la ubicación al CDP (2) + Ubicación de Delta CRL (4)
Tokens de reemplazo de CRL
En los ejemplos anteriores, es posible que haya observado %1, %3, %4, %8 y %9. Esto representa cómo está configurada la CA y cuál debería ser el nombre del archivo. Si se renombran los archivos, los puntos AIA y CDP podrían fallar debido a que la convención de nomenclatura no coincide.
| Nombre del token | Descripción | Valor del mapa |
|---|---|---|
| NombreDNS del servidor | El nombre DNS del servidor CA | %1 |
| Nombre corto del servidor | El nombre NetBIOS del servidor | %2 |
| Nombre de CA | El nombre de la CA | %3 |
| Sufijo de certificado | La prórroga de la renovación de la CA | %4 (según la asignación de Windows 2000) |
| Nombre del certificado | %4 (según la asignación de Windows 2003 | |
| Contenedor de configuración | La ubicación del contenedor de configuración en AD | %6 |
| CATruncadoNombre | El nombre “saneado” de la CA | %7 |
| Sufijo del nombre CRL | La prórroga de la renovación de la CRL | %8 |
| DeltaCRLAllowed | Si se permite Delta CRL, se agrega + al final del archivo para indicar un delta crl | %9 |
| Clase de objeto CDPObject | 10% | |
| Clase de objeto CA | 11% |
En función del valor de mapeo, a los puntos AIA y CDP se les asigna una convención de nombres para encontrar el archivo correcto desde esas ubicaciones.
Depuración de problemas de ubicación de CDP/AIA
Si las ubicaciones de CDP/AIA están configuradas correctamente, estos pasos ayudarán a resolver los problemas temporalmente. Por ejemplo, usaremos problemas de AIA, que también funcionan para los problemas de CDP.
Tras abrir y comprobar PKIView.msc, podemos ver dónde está el problema. Podemos copiar la URL a un bloc de notas para investigarlo más a fondo.
El AD no tiene nuestro certificado si el problema está en la ubicación LDAP. La solución es bastante sencilla.
Los certificados obtenidos mediante LDAP se obtienen del controlador de dominio. Si abrimos el controlador de dominio y ADSIEdit.msc, podemos ir a Servicios > Servicios de clave pública > AIA y comprobar los certificados actuales. Dado que nuestro... Emisión de CA Falta el certificado, el entorno PKI no puede recuperar el certificado de esa ubicación.
Para resolver esto, navegamos a nuestra CA emisora y ejecutamos el comando
certutil -dspublish -f SubCA
Una vez que el comando se ejecuta correctamente, podemos actualizar nuestro PKIView.msc para verificar si el problema se resolvió y deberíamos ver un borrón y cuenta nueva.
Sin embargo, si la ubicación AIA n.° 2 o la ubicación HTTP están causando errores, este error se debe a que el certificado no está presente en ese punto final del servidor.
Para resolver esto, copiamos el certificado de la ubicación %windir%\System32\certsrv\CertEnroll a nuestro servidor web, que aloja nuestro certificado.
Esto resolvería nuestro problema, que podemos comprobar nuevamente en PKIView.msc.
Conclusión
Los problemas con las ubicaciones de CDP y AIA pueden ser complejos. Una configuración incorrecta suele causar problemas, que pueden ser más difíciles de rastrear. Con esta guía, esperamos simplificar la configuración de puntos CDP/AIA con pasos de depuración para solucionar cualquier problema técnico.
